Elmiyati Luthfiyatul M. Zahrotul Jamila Ilham Mansur 200221100162 200221100169 200221100179 Manajemen Information System, McLeod & Schell, 10th edition chapter 9 Kebutuhan Organisasi akan Keamanan & Pengendalian Bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengan kemampuan untuk melanjutkan kegiatan operasional setelah terjadi gangguan. Pemerintah federal AS sudah menerapkan pencegahan dan pengendalian yang serupa, melalui otoritas Patriot Act dan Office of Homeland Security. Ketika pencegahan federal ini diimplementasikan, dua isu penting harus diatasi. • Keamanan versus hak-hak individu • Keamanan versus ketersediaan. Keamanan Informasi Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus pada perlindungan hardware dan data. Diperluas menjadi bukan hanya hardware dan data, tetapi juga software, fasilitas komputer, dan personel. Kini, cakupannya telah meluas hingga mencakup semua jenis data (bukan hanya data dlm komputer saja) Keamanan Informasi Istilah Keamanan Informasi (Information Security) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan non-komputer, fasilitas data, dan informasi dari penyalahgunaan pihak-pihak yang berwenang. Definisi yang luas ini mencakup peralatan seperti mesin fotokopi dan mesin faks serta semua jenis media termasuk dokumen kertas. Manajemen Keamanan Informasi Manajemen keamanan informasi terdiri dari empat tahap: – Mengidentifikasi ancaman yg dapat menyerang sumber daya informasi perusahaan; – Mendefinisikan risiko yg dapat disebabkan oleh ancaman tersebut; – Menentukan kebijakan keamanan informasi; – Serta mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut. Sumber: Management Information System, McLeod & Schell, 10/e, chap. 9 Identify the risk Define the risk Benchmarks Establish an informatio n security policy Establish an informatio n security policy Impleme nt the controls Impleme nt the controls A. Risk Management B. Benchmark Compliance Ancaman Ancaman keamanan informasi (information security threat) adl orang, organisasi, mekanisme, atau peristiwa yg memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ancaman dapat bersifat internal serta eksternal, dan dapat bersifat tidak disengaja maupun disengaja. Ancaman Ancaman Internal dan Eksternal – Ancaman internal bukan hanya mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tsb. Tindakan Kecelakaan dan Disengaja – Tidak semua ancaman merupakan tindakan disengaja yg dilakukan dg tujuan mencelakai. Keamanan informasi harus ditujukan untuk mencegah ancaman yg disengaja, sistem informasi juga harus mengeliminasi/mengurangi kemungkinan terjadinya kerusakan yg disebabkan kecelakaan. Risiko Risiko keamanan informasi (Information security risk) – Potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. – Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko tersebut dibagi menjadi 4 jenis, yaitu: – Pengungkapan informasi yang tidak terotorisasi dan pencurian – Penggunaan yang tidak terotorisasi, – Penghancuran yang tidak terotorisasi dan penolakan layanan, – Modifikasi yang tidak terotorisasi Keamanan dalam E-Commerce E-commerce (perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari pemalsuan kartu kredit. Cyber Crime Cyber crime dalam arti luas → aktivitas ilegal yg dilakukan melalui jaringan komputer dan internet untuk mendapatkan keuntungan dengan merugikan piak lain. Dalam arti sempit → semua tindakan ilegal yg ditujukan untuk menyerang sistem keamanan komputer dan data yg diproses oleh suatu sistem komputer. Ada beberapa jenis cyber crime di antaranya adalah peretasan, hacking, carding, phishing, defacing, dll Manajemen Risiko Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefinisian risiko terdiri atas empat langkah: – Identifikasi aset-aset bisnis yg harus dilindungi dari risiko – Menyadari risikonya – Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi – Menganalisis kelemahan perusahaan tersebut. Kebijakan Keamanan dlm Informasi Sumber: Management Information System, McLeod & Schell, 10/e, chap. 9 Pengendalian Pengendalian (control) adl mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi. Pengendalian dibagi menjadi 3 kategori: – Teknis – Formal – Informal Pengendalian Teknis Pengendalian teknis (technical control) adl pengendalian yg menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor internal di dalam tim proyek merupakan satu cara yang amat baik untuk menjaa aar pengendalian semacam ini menjadi baian dari desain sistem. Pengendalian Formal Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yg diarapkan, dan pengawasan serta pencegaan perilaku yang berbeda dari panduan yg berlaku. Bersifat formal karena manajemen menghabiskan byk waktu utk menyusunnya, mendokumentasikannya ke dlm bentuk tulisan, dan diharapkan berlaku utk jangka panjang. Pengendalian Informal Pengendalian formal mencakup proram-proram pelatihan dan edukasi serta proram pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut. Pengaruh Keamanan Informasi pd Pemerintah & Industri pemerintahan Beberapa organisasi dan internasional telah menetukan standar-standar yg ditujukan untuk menjadi panduan bagi organisasi yg ingin mendapatkan keamanan informasi. Berikut merupakan contoh standar tersebut: – United Kingdom’s BS779 – BSI IT Baseline Protection Manual – COBIT – GASSP – ISF Standard of Good Practice